四、 流控Q/A

　　Q1. 传统的路由交换能否解决流量问题?为何必须选购专业流控?

　　 A1.刘欣宇：

　　对于传统的用路由交换设备解决流量问题来说，我看来这是大家的一个误区：第一，它所能控制的力度是比较低的，通过交换机或路由器基本上就是在四层来做控制，比如说拿P2P来举例，你怎么分析它是P2P的哪一类应用呢?是做不到的，一定要分析到七层才能够做到，这是第一个，为什么需要专业的流控设备。第二，当你的路由器如果加载过多的控制策略的时候它的性能会大幅的下降，就是说导致它最主要的业务，也就是说路由转发会延迟非常慢，这一点失去了路由器的意义。所以需要专业的路由设备，而不是在传统的网络设备上去实现。

　　A2.李庭芳：

　　为什么大家要选用流控产品?有几个方面，有一些相关的数据可能让我们感觉到当前的形势比较严峻：第一，P2P的应用有专业的分析机构已经作过统计，就是说在互联网当前流量里面有60%的流量是来自于P2P的应用，而这种P2P里面作为一个领头羊的BT在全球占了40%，这是非常厉害的，在国内有一些差异，国内据最近的一次2009年1月份的统计报告，中国目前来说有78.1%的人就是说使用下载工具进行下载，而迅雷占了中国下载工具里面约占了80%的市场份额，可以这样说，当前迅雷在中国已经有了2.4亿人的用户。这些用户里面每个月下载的流量是30多亿次，所以这个就给我们提出了非常严峻的考验。

　　第二，现在专业流控一方面是用了DPI技术，DPI技术是对那些明文的协议有很好的识别，但是对一些加密的，现在用迅雷做下载他会用加密进行传输，这种方式用DPI技术可能就会有一定的限制，就识别不了，怎么办?现在我们还要有DFI，就是动态流检测技术，这样对加密传输的协议我们可以很好的去识别，有一些P2P的应用它可能是藏在协议包里面的，伪造别的端口，但是如果用DPI技术识别不了，用DFI的技术就可以识别。有些是仅仅基于数据流的方式也不能识别，人的行为识别技术是什么样呢?像现在的P2P应用它有一个特征，这个源地址是不变的，但是我的目的地址是可变的，并且时间间隔也是很均匀的，通过整个系列的分析发现它是这种P2P的应用。实际上我相信像刘总他们的产品里面，他用了DPI技术，我觉得可能还不够，还要基于有关的行为识别技术，这是三者相结合的，才能有效的回到我们前面见到的，怎么样满足客户的需求，现在可能有的设备它不能基于人，基于时间做一个很好的流控。

　　在我们网康有一种专利技术，多维非线性的策略引擎，能够使我们的大流量，大的策略的情况下设备性能依然保持高效。在我们网康试验室里面做了一个测试，就是用传统的线性的策略引擎，可能加载六百条策略的时候，性能下降50%，再往上的时候是300条的时候是25%，如果用多维非线性引擎的话性能可能就是下降10%。

　　Q2.行为识别可能有一个什么问题呢?就是一个误识别的问题，比如有一种行为就是IP同一的问题，这种方式怎么识别。像DFI怎么避免它误识别的问题，怎么样尽量避免误识别的问题?

　　A.李庭芳：

　　DFI的技术是基于一种动态流的检测技术，这种技术如果仅仅从DFI的角度来看，它首先跟DPI相比的话它很高效，但是它又可能难免有不识别的这种行为，但是我们还基于行为模式识别技术，两者相结合，这样尽量去避免这种误识别。

　　Q3.关于Iptables

　　A.白璐：

　　有网友提到用Iptables做网关，我个人是这么一个印象，使用Iptables是一个开源的东西，这个软件本身是不花钱的，但是它也是需要有其他的软件进行配合的，因为网络控制只不过是网络管理的一部分而已，监测都是需要有其他的组成成员的，可能整套的解决方案iptables是做不到的，还要配合一些监管软件做一些事情，还需要手动做一些脚本再进行软件之间的关联。这对于个人管理者他的职业素质要求会比较高一点，所以说应用上的难度也会比较大，但是最主要的是他虽然开源免费，但是没有人给你负责任，一旦遇到比较大的应用故障的时候，这个时候没有售后服务的。

　　Q4.对于新出的一种流量，比如说现在用迅雷以及用P2P的流量，有没有控制这方面的扩展性的路由器。

　　A1. 刘欣宇：

　　提到这个问题是相当于以后的发展方向，就是针对新的供给或者是突发性的供给怎么去识别，从思科的角度来讲我们没法去驱动它，但是对于国内的一些企业，我们其实对用户的反馈是非常非常重视的，哪怕说有用户报我给发现一个什么样的供给，在有可能的条件下我们希望把样本拿过来给我们，就是把我们的库做得越来越全，这是我们的一个发展方向。

　　A2.李庭芳：

　　我补充一点，你提的这个问题，互联网的应用是层出不穷，迅雷有不同的版本，像原来的一些国外的厂商，他在本土怎么样去更好的生存，怎么样去适应本土的一些上网行为的习惯，如果没有很好应用协议库的话很难保证我能封堵最新的想封堵的应用，像我们怎么做的呢?就是说我们有一个实时更新的应用协议库，一旦有新的应用产生的话，我们可以去对它进行实时的更新，同时就可以在我们协议库里面，就是有执行的协议，一旦用户用了的话跟我们的协议库是匹配的，我就可以对它进行相关的控制和管理，是这样的。

　　Q5.流控设备采用什么样的接入方式比较好?

　　A1. 刘欣宇：

　　如果拿流量控制来说，我个人认为是从两个层面去做的，第一层面叫做分析，或者我称之为它叫做识别，第二个层面才是控制，那么如果从分析的角度去讲，我们可以通过一些“旁路镜像”的手段去实现，如果要和控制结合在一起，它的部署方式最好是串行，有很多人会说，我不要你串行，但是需要全路由的方式来实现，这个好处是，如果我的设备一旦出现故障，他会采用P2P的路由来实现，第三种方式叫做单臂，数据送到我这里来处理不了的话，还可以原路打回去，这种方式是比较少见的。

　　A2. 李庭芳：